logo Homepage
+  NewbieContest
Username:
Password:
  Voir les messages
Pages: [1] 2 3 ... 5
1  News / News Hacking/Cracking/Phreaking / Re : Re : Re : Ne vous faites pas interpeller avec votre smartphone sinon... le: 23 Janvier 2020 à 15:05:45
Je serais curieux de savoir comment ils font pour "entrer" dans le smartphone.
Ca me rappelle l'histoire d'il y a quelques temps aux USA où la justice voulait accéder aux infos dans un iPhone et Tim Cook leur a répondu fuck.

C'est simple. Ils utilisent des 0-day. Ils les achètent ou les trouvent et les utilisent pour exploit les téléphones. L'affaire du FBI et Apple a trouvé sa fin dans le fais que le FBI a demander a Cellebrite de crack le téléphone et qu'ils l'ont fais...
2  News / News Hacking/Cracking/Phreaking / Ne vous faites pas interpeller avec votre smartphone sinon... le: 23 Janvier 2020 à 11:02:25
La news qui fait un peu froid dans le dos...
500 commissariats seront bientôt équipés de tools capable d'aspirer le contenu complet de "n'importe quel" smartphone...

La france a passé une grosse commande chez la tristement célèbre entreprise israélienne Cellebrite (a ne pas confondre avec Celelibi). La capacité du "kiosque" : aspirer les données de 17 000 modèles de téléphones, tablettes ou GPS en une dizaine de minutes.

Citation
Oui mais c'est bien pour les enquêteurs, contre les violeurs, les harceleurs, les terroristes, etc...

Oui maiiiiis... En fait non. En gros, vous allez à, par exemple, une manif. La situation dégénère et dans la confusion vous êtes interpellé et emmené au poste. On vous notifie votre mise en garde-à-vue et on vous confisque tout vos effets personnels avant de vous enfermer. Vous choisissez de gardez le silence et d'attendre votre avocat. Et c'est la que ça va changer...

Jusqu’à aujourd'hui si votre téléphone était éteint et avec un pin code, personne ne pouvait fouiller dedans. Votre avocat arrivait, ils faisait son job et vous, innocent, finissiez par sortir, récupérer vos affaires et repartir sans être trop inquiété...

Mais maintenant voila ce qui va se passer, le temps que votre avocat arrive : les policiers brancheront le téléphone sur la boite magique qui en 10 minutes recrachera :
- Messages SMS (supprimés ou non)
- Messages in-app (Snapchat, Facebook ou même Signal et Telegram)
- Photos et vidéos
- Mails
- Historique de navigation internet ou de la géolocalisation
- Historiques de mots de passe
- Carnet d’adresses
- Notes

Et il pourront les consulter librement sans filtre... Voire même vous s'en servir contre vous pour vous pousser à abandonner votre silence avant même l'arrivée de votre avocat...

Ouais c'est archi-moche. De plus ce système pourrait être couplé au fichier de traitement des antécédents judiciaires aka TAJ (un fichier tenu par la police où l’on trouve les personnes mises en cause et les victimes dans les affaires pénales). Je vous laisse imaginer la capacité à remonter les réseaux de personne quels qu'ils soient (Militants, Opposants politique, Amicaux, etc etc)... Pratique pour tracer les réseaux mafieux, terroristes ou criminel mais (car y a un énorme mais), et les dérives possibles ?

Bref, évitez de vous faire embarquer avec votre téléphone sur vous (même éteint) sinon : "All your data are belong to us." - Le gouvernement français.

Source (et plus de détail) : https://www.developpez.com/actu/291079/France-500-commissariats-seront-bientot-equipes-d-un-outil-pour-aspirer-les-donnees-d-un-smartphone-en-10-minutes-des-associations-craignent-des-derives/
3  Divers / Linux / Re : Faille sudo le: 18 Octobre 2019 à 12:45:20
La faille sudo est pas folle... Beaucoup de bruit pour pas grand chose.
4  News / News du site / Re : Ins'Hack Cé Té Aif le: 03 Mai 2019 à 12:08:19
J'y était.
C'était bien.
Super orga <3
Plein de chall sympas.
brb il reste des chall a faire avant dimanche soir...
Y avé pa 2 rousses, cey null. 4/5
5  News / News du site / Re : Re : SigsegV1 : let's go ! le: 11 Septembre 2018 à 10:15:43
Great, les challs qualificatifs auront lieu sur le site NC je suppose ?

Non, on a pas encore mis la main sur le RPI de dev :>
6  News / News Informatique/Hardware/Tuning / Re : Envoyez votre nom dans l'espace !! le: 10 Août 2018 à 08:45:36
Hey ! Demain c'est le grand jour !

La sonde Parker Solar décollera demain a 9h30 (heure française) de Cape Canaveral a bord d'une Delta IV Heavy.

Bien sur, il est possible de regarder le décollage en direct sur youtube via ce lien : https://www.youtube.com/watch?v=wwMDvPCGeE0

Sortez vos "Hot Tickets", votre nom va partir dans l'espace pour aller au plus proche du soleil 
7  Général / Defouloir / #NDH16 - La Nuit du Hack édition 2018 - Vos retours. le: 02 Juillet 2018 à 15:57:03
Salut, salut !

La nuit du hack est finie. Certains s'en remettent bien. D'autre non... Et tout cas, moi je me suis bien amusé, certain (dont on ne citera pas les noms) on bien joué avec les stickers NC...

Et vous ?
8  News / News Hacking/Cracking/Phreaking / Re : Dumper Lightshot ? le: 11 Juin 2018 à 08:51:07
Je pense qu'il doit être assez compliqué d'extraire et d'exploiter la moindre info. Y a énormément de data inutiles, inexploitables, etc etc.
9  News / News Hacking/Cracking/Phreaking / Dumper Lightshot ? le: 06 Juin 2018 à 08:11:25
Bonjour les poulpinous ! Wait... THE LSD SORT DE MON CORPS !!!!

Bref, aujourd'hui je vous partage un truc sympas. Lightshot est site de partage de capture d'écran. Et il fais des url courtes pour partager facilement vos images.

Le format des URL est le suivant : https://prnt.sc/abc123

Le problème c'est que le abc123 est pas générè aléatoirement du coup pour peu qu'on change le abc123 par abc124 on tombe sur une autre image.Pareil pour abc125, abc126, etc etc...

Il suffit donc d'un p'tit crawler des familles pour dumper toutes les images qu'on veut (ou plutôt qu'on peut...). Je pense qu'on peut y trouver des pépites mais aussi des truc chelou...

Un POC existe ici : https://github.com/senges/lightshot

Edit : Le POC ne fonctionne plus a cause de cloudflare qui capte le curl. Du coup, un patch a été soumis en pull request.

Je retourne nager le crawl... (STOCKAGE SORT DE MON CORPS TOI AUSSI !!!!)
10  Divers / Informatique / Re : equivalent TAMPER DATA le: 14 Mai 2018 à 08:58:53
Si tu connais un bon tuto FR sur Burp Suite, the_lsd ca serai cool
11  Divers / Informatique / Re : Re : Re : Re : Re : [Projet] Création d'un compteur de likes facebook avec un raspberry pi le: 12 Mai 2018 à 17:02:20

Je vais le pwn pour ecrire B*TE et je screen no faKe

Bonne chance. Si t'y arrives je paye tes boissons pendant une soirée entière et je te ramènes chez toi. (boire ou conduire ... y'a lovenunu qui fait sam c'cool).


Deal
12  Divers / Informatique / Re : [Projet] Création d'un compteur de likes facebook avec un raspberry pi le: 12 Mai 2018 à 00:09:41
Mais ce qu'on ne dit pas c'est que maintenant dans ce bar y a un chall

" Facebook Zero by lovenunu " - 30 points - 0 Validation

 

Je vais le pwn pour ecrire B*TE et je screen no faKe
13  Divers / Informatique / Re : [Projet] Création d'un compteur de likes facebook avec un raspberry pi le: 11 Mai 2018 à 16:09:04
Jolis WU !!! Du beau boulot

Question : le boitier de NES viens d'une NES qui a wipe ?
14  News / News Informatique/Hardware/Tuning / RGPD ou les 4 lettres de l'apocalypse. le: 11 Mai 2018 à 09:34:30
On se rapproche du 25 mai et l'entrée en vigueur du famoso RGPD aka "Règlement Général sur la Protection des Données" et c'est la panique partout surtout y compris en dehors de l'Union Européenne...

Plusieurs sites ont fermés leurs services aux européens juste pour pas risquer de se faire allumer par RGPD... Les raisons invoquées officiellement : "Texte trop ambiguë, trop dangereux pour les start-up sans équipe juridique et la guillotine de 20M d'€ ou 4% du chiffre d'affaire en amende.". A mon avis, la vrai raison est que ça pousse ces entreprises a montrer ce qu'elle font des data de leur users et imho c'est pas jojo... (Ou alors la flemme de changer des truc mais bon...).

Il y a même des services qui pop comme gdpr-shield.io qui propose d’intégrer un simple JS au site web et hop plus aucun user venant d’Europe donc, plus de RGPD, plus de problèmes . Par contre c'est pas gratuit hein faut pas déconner Le payplan est 9, 49 ou 79 dollars par mois. For fun and profit comme on dit dans le domaine.

Bon par contre au milieu de tout ça on retrouve nos bon vieux "GAFA" avec un totem d'immunité de Koh'Lanta parce que eux si ils mettent dans leur CGU qu'ils veulent votre nouveau né en échange de leur services, personne ne le vois (personnes lis les CGU même si RGPD va obliger à les "simplifier") et tout le monde accepte. Et puis, le coté juridique, ils ont la blinde d'avocats qui vont bien pour faire trainer la procédure et même assez de cash pour dire "mdr osef on paye".

Bref, RGPD, ça fout le bordel pour le meilleurs et pour le pire
15  News / News Informatique/Hardware/Tuning / Faille dans la sécurité des serrures des chambres d'hotel. le: 27 Avril 2018 à 13:27:52
Joli hack de 2 chercheurs de chez F-Secure qui pose un petit problème a ceux qui voyagent beaucoup et sont habitués aux hôtels...

Environ 40 000 hôtels sont concerné par ce problème, ceux équipés de Vision de VingCard.

Les détail du hack n'ont pas été publiés car F-Secure bosse avec les hôtels pour sécuriser tout ce merdier, mais voila les détails de base :

1 - l'attaquant a besoin d'une carte d’accès de l’hôtel cible, quelle soit en cours ou révoquée,qu'elle ne serve qu'au local poubelle ou la plus minable des chambre, ça n'a pas d'importance.
1.1 - Vu que l'attaquant a juste besoin du contenu RFID de la carte, une simple proximité avec un employé ou un autre client peut-faire le taf.

2 - L'attaquant forge une carte "maîtresse" en quelques minutes en se basant sur les données de la carte originale. Puis avec RFID reader/writer (une centaine d'euros sur internet) que l'attaquant va coller contre la serrure il va tester plusieurs clés en moins d'une minute pour trouver celle qui ouvre la porte...

3 - Profit.

Mais ca date de quand cette faille ??? Hé ben on sait pas trop... Mais , il y a une dizaine d'années, un employé de F-Secure qui donnait une conférence dans un hôtel s'était fait dérober son laptop dans sa chambre... Sans trace d'effraction, ni de trace dans le registre des accès de la chambre...

Je vous laisse imaginer ce que des truands peuvent faire d'une telle faille voire mieux... Nos amis des agences gouvernementales (NSA,CIA,FBI,DGSE et autre agences plus secrètes au point de ne pas avoir d’acronyme pétés...).

Les tricks de bases sont donc de ne pas laisser des objets de valeurs dans la chambre, mettre la chaine de porte lors que vous êtes dedans et être prudent.

Bonne nuit  

Source :
https://www.presse-citron.net/piratage-faille-securite-serrures-hotel/ (FR)
https://thehackernews.com/2018/04/hacking-hotel-master-key.html (EN mais avec plus de détail )
Pages: [1] 2 3 ... 5